トロイの木馬化されたスーパーマリオ3ゲームインストーラーを使用してマルウェアを拡散する脅威アクター

Cybleのセキュリティ研究者は、脅威アクターが改変されたスーパーマリオ3: マリオフォーエバーのインストーラーサンプルを、未公開のソースを通じて自己解凍アーカイブ実行ファイルとして配布していることを発見しました。

スーパーマリオフォーエバーのWindows用トロイの木馬入りインストーラーは、無警戒なプレイヤーに複数のマルウェア感染を引き起こしています。

スーパーマリオ3: マリオフォーエバーは、オリジナルの任天堂のリメイクで、Buzio Gamesによって開発され、2003年にWindowsプラットフォーム向けにリリースされました。

ご存知の通り、このゲームは瞬時にヒットし、世界中の何百万ものユーザーによってダウンロードされ、クラシックなマリオのメカニクスを保持しつつ、現代的なグラフィックスとサウンドを提供することで称賛されました。

次に、マルウェアゲームはソーシャルメディアやゲームグループで宣伝されているようで、ブラックSEO、マルバタイジングなどを通じてユーザーに押し付けられています。

読む: 大規模データ漏洩: 10万以上のChat GPTアカウントが盗まれたとGroup IBが警告

アーカイブには3つの実行ファイルが含まれています。最初のものは本物のマリオゲーム（v702e.exe）で、次にjava.exeとatom.exeという2つの他の実行ファイルが続き、これらはゲームインストール中にターゲットのApp Dataに安全にインストールされます。

悪意のある実行ファイルがディスクに存在するため、インストーラーはそれらを実行してXMR、つまりMoneroマイナーとSupremeBotマイニングクライアントを起動します。

2番目の実行ファイル、つまりjava.exeファイルは、ターゲットのハードウェアに関する情報を収集し、「gulf[.]moneroocean[.]stream」のマイニングサーバーに接続してマイニングを開始するMoneroマイナーです。

次は3番目の実行ファイル、つまりatom.exe（SupremeBot）で、これは自分自身の複製を作成し、ゲームのディレクトリ内の隠しフォルダーにコピーを配置します。その後、15分ごとに無限に実行されるコピーを実行するためのスケジュールされたタスクを作成し、正当なプロセスの名前の下に隠れます。

初期プロセスは停止され、元のファイルは検出を逃れるために削除されます。その後、マルウェアはC2接続を確立して情報を転送し、クライアントを登録し、Moneroのマイニングを開始するためのマイニング構成を受け取ります。このすべての後、SupremeBotはC2からペイロードを受け取り、wime.exeという名前の実行可能ファイルとして現れます。

最後のファイルはUmbral Stealerと呼ばれ、今年の4月からGitHubで入手可能なオープンソースのC#情報盗難ツールで、侵害されたWindowsマシンからデータを盗みます。

それは、ウェブブラウザに保存された情報、暗号通貨ウォレット、セッショントークンを含むクッキー、Telegram、Discord、Robloxからの認証情報と認証トークンを盗みます。

Stealerは、侵害されたWindowsデスクトップのスクリーングラブを取得したり、接続されたウェブカメラを使用してデータをキャプチャしたりすることもできます。すべての盗まれたデータは、C2サーバーに転送される前にローカルに保存されます。

情報盗難ツールは、改ざん保護が有効でない場合、単にプログラムを無効にすることでWindows Defenderを回避する能力があり、そうでない場合は、情報盗難ツールはそのプロセスをアンチウイルスの除外リストに追加します。

これに加えて、トロイの木馬はWindowsホストのファイルを変更して、有名なアンチウイルスと組織のウェブサイトとの通信を妨害し、彼らの日常業務と効果を停止させることができます。

このように言われているので、最近スーパーマリオ3: マリオフォーエバーをダウンロードした場合は、インストールされたマルウェアをスキャンし、検出されたマルウェアを削除する必要があります。マルウェアが検出された場合は、重要なウェブサイト、銀行、メールなどのすべてのパスワードを変更する必要があります。

読む: ロシアのハッカーグループShuckwormがウクライナのセキュリティ組織を引き続き標的にしている